Методы защиты от ПО со шпионскими модулями (с 15.04.2026)

Manuals and How-Tos
283

Насколько на данном этапе “цифрового развития” актуальны такие меры защиты смартфона от нечисти, есть ли какие-то уязвимости?:

Вариант конфигурации с root

  • получение root

  • magisk(alpha 30700 - успешно работает с mir pay при добавлении в DenyList) с модулями LSposed / Relesposed

    • В модуле LSposed / Relesposed в свою очередь модули:
    • Hide My Applist (все подозрительные приложения скрыть
      от скрепо-софта)
    • NoVPNdetect (скрыть флаг VPN от скрепо-софта)
    • Опционально - что бы всё наглухо заблокировать - XPL-EX
      В этом приложении можно ограничить разные доступы для любых установленных приложений (от АНБ, Скрепных, мошенников, хакеров и т.п. главное лишнего не наблокировать, иначе навигаторы не будут видеть GPS и прочие подобные проблемы)

  • Приложение AFWall+ (Брандмауэр работающий через iptables у меня почему то получилось нормально запустить только в режиме белых списков - галочка значит разрешено). В нём Активировать “Управление VPN”. После этого появится 4 столбца:
    Два компьютера | wifi | стрелки вверх и вниз | какие -то узлы (видимо это VPN?)

    • Заблокировать подозрительные приложения.

    • Подозрительным приложениям которым нужен интернет дать доступ только к мобильному интернету и WI-fi (2 я и третья пиктограмма - знак wi-fi и стрелки вверх и вниз) - убрал первую и последнюю - после этого как я понимаю нет доступа к локальной сети и к tun устройствам.

    • Mir pay - ему интернет не нУжон - заблокировать сеть наглухо после добавления карт. (снял все галочки для профилактики, хотя где то читал, что он вроде как не стучит)

  • Приложение для VPN и/или proxy на примере NekoBox (эти приложения скрыть с помощью Hide My Applist, да и вообще все приложения которые черти могут посчитать подозрительными и приложения связанные с root )
    Для удобства можно создать 3 профиля для одного подключения.

      1. Rroxy Only с авторизацией по логину и паролю
  2. VPN + proxy (proxy с авторизацией по логину и паролю)
  3. VPN (Tun) Only

    В “Пользовательский исходящий JSON” (карандаш на профиле => три точки =>Пользовательский исходящий JSON)
    Добавил такие записи:

    • Только Прокси:
{
"inbounds": [
{
"type": "mixed",
"tag": "mixed-in",
"listen": "127.0.0.1",
"listen_port": 8010,
"sniff": true,
"sniff_override_destination": false,
"domain_strategy": "",
"users": [
{
"username": "ВАШ ЛОГИН",
"password": "ВАШ ПАРОЛЬ"
}
]
}
]
}
  • ВПН+Прокси:
{
"inbounds": [
{
"domain_strategy": "",
"endpoint_independent_nat": true,
"inet4_address": [
"172.19.0.1/28"
],
"inet6_address": [
"fdfe:dcba:9876::1/126"
],
"mtu": 9000,
"sniff": true,
"sniff_override_destination": false,
"stack": "gvisor",
"tag": "tun-in",
"type": "tun"
},
{
"type": "mixed",
"tag": "mixed-in",
"listen": "127.0.0.1",
"listen_port": 8010,
"sniff": true,
"sniff_override_destination": false,
"domain_strategy": "",
"users": [
{
"username": "ВАШ ЛОГИН",
"password": "ВАШ ПАРОЛЬ"
}
]
}
]
}

Только ВПН:

{  
“inbounds”: [  
{  
“domain_strategy”: “”,  
“endpoint_independent_nat”: true,  
“inet4_address”: [  
“172.19.0.1/28”  
],  
“inet6_address”: [  
“fdfe:dcba:9876::1/126”  
],  
“mtu”: 9000,  
“sniff”: true,  
“sniff_override_destination”: false,  
“stack”: “gvisor”,  
“tag”: “tun-in”,  
“type”: “tun”  
}  
]  
}

  • После этого телегу и прочие приложения поддерживающие socks5 proxy (firefox с расширением например) можно подключить в режиме без VPN. В WhatsApp как я понял нет прокси с авторизацией, что печально.

  • В этом режиме - только socks5 proxy с авторизацией это приложение для проверки - RKNhardering (с теми же допусками как скрепо и АНБ-софт) ничего не пропаливает (кроме ложных срабатываний - например на настоящие DNS мобильных операторов имеющих ip вида 10.xx.xx.xx или служебных VPN поднятых операторами связи для VoWifi)
    И я полагаю, что в этом случае будет срабатывать Kill Switch в случае падения outbond или отключения VPN клиента. (во всяком случае при неактивном подключении браузер с прокси работать перестаёт)

  • В режимах с активным VPN сетевой интерфейс tun0 виден для RKNhardering , но если доступ к нему ограничить с помощью брандмауэра (AFWall+, как я понял можно и вручную прописать iptables) то termux перестаёт успешно выполнять команду вида:

curl --interface tun0 https://example.com

  • Не знаю на сколько критичен факт видимости tun интерфейсов? Нужно ли и вообще и возможно ли их скрывать? Насколько я знаю их могут создавать на смартфонах далеко не только средства обхода но и : Файерволы без рута, разные локальные фильтры трафика, как оказалось - VoWifi . Я думаю список не исчерпывающий.

  • Естественно правила маршрутизации для ip и сайтов ru - сегмента сети на блокировку (на уровне клиента а лучше и сервера)

geoip:ru
domain:ru
domain:su
domain:рф

Без root

  • Если нет root то я думаю есть смысл ставить нехорошие приложения во второе пространство (Частный профиль в чистом андроиде) или виртуалки
    Так же не видно будет приложениям из Частного профиля список приложений на всём устройстве?

  • В системных настройках активировать для своего VPN-профиля активировать галочку “Блокировать соединения без VPN” и делать подобные настройки которые упоминал partyhard: NekoBox настройки от пролезания

  • Т.е. как я понял, суть в отключении попытки фильтрации на входе в tun (ибо она не защищает от попыток “влезть” несанкционированно) и в разруливании маршрутов внутри клиента (после tun).

ДУМАЮ, ЛУЧШЕ ЭТОТ ВОПРОС (конфигурации без рута) задам отдельно - этот и так слишком длинный получился.